内容简介:Docker Hub 发布安全公告称,其数据库遭到了未经授权的黑客攻击,大约有 19 万用户的敏感信息泄露,其中包括用户名、登陆密码及 GitHub、Bitbucket 的访问令牌。据悉,Docker Hub 中的 GitHub 和 Bitbucket 访问令牌允许开发人员修改项目代码,并自动构建 Docker Hub 上的镜像。一旦有人获取到了这些令牌的访问权限,就可以访问私有代码仓库,甚至可以修改私有代码仓库。而 Docker Hub 镜像通常用于服务器配置和应用程序,如果攻击者利用泄露的令牌修改代码或
Docker Hub 发布安全公告称,其数据库遭到了未经授权的黑客攻击,大约有 19 万用户的敏感信息泄露,其中包括用户名、登陆密码及 GitHub、Bitbucket 的访问令牌。
据悉,Docker Hub 中的 GitHub 和 Bitbucket 访问令牌允许开发人员修改项目代码,并自动构建 Docker Hub 上的镜像。一旦有人获取到了这些令牌的访问权限,就可以访问私有代码仓库,甚至可以修改私有代码仓库。而 Docker Hub 镜像通常用于服务器配置和应用程序,如果攻击者利用泄露的令牌修改代码或者已构建的镜像,那么可能会发生严重的供应链攻击。
4 月 25 日,Docker 发现了对存储非财务用户数据子集的单个 Hub 数据库的未授权访问。26 日,Docker 向开发者发送了相关邮件, 邮件内容 显示在发现数据泄露之后,Docker 立刻采取了两项行动,一是通知用户更改在 Docker Hub 的密码以及其他使用此密码的账户;二是针对可能受到自动构建令牌影响的用户,撤销 GitHub 令牌和访问密钥,并通知用户重新连接到存储库,并检查安全日志,查看是否发生了意外操作。
在 GitHub 或 BitBucket 帐户上查看安全操作,确定是否发生了意外访问:
https: //help.github.com/en/articles/reviewing-your-security-log
https: //bitbucket.org/blog/new-audit-logs-give-you-the-who-what-when-and-where
如果您正在使用自动构建服务的代码,那么可能需要取消链接,然后重新连接 GitHub 和 BitBucket:
https: //docs.docker.com/docker-hub/builds/link-source/
根据 Docker 发布的邮件,这次受影响的 19 万用户只占总用户的 5%。受影响的范围虽然不算特别大,但是由于 Docker Hub 的用户大部分是大企业内部员工,他们可能都在使用自动构建容器服务,且容器可能会被部署在实际生产环境中。如果这些员工没有能够及时重置账号密码,那么该账号下的自动构建服务就存在着极大的安全风险,很可能会被攻击者植入恶意软件。
Docker 表示,“我们会加强整体安全流程并审核我们的政策。另外,现在已经添加了额外的监测工具。”目前,该事件还在调查过程中,之后,Docker 可能会分享更多细节。
以上所述就是小编给大家介绍的《Docker 官方公共仓库 Docker Hub 遭攻击,19 万用户信息泄露》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
- 数据仓库(一):认识数据仓库
- 将 svn 仓库迁移到 git 仓库
- 仓库ERP软件集成RFID打造智能仓库物流系统
- 实战maven私有仓库三部曲之二:上传到私有仓库
- BI和数据仓库:企业分析决策真的离不开数据仓库吗?
- 信息泄露 :不仅仅是数据,物理上的信息泄露也很重要
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
并行计算导论
Ananth Grama、George Karypis、张武、毛国勇、Anshul Gupta、Vipin Kumar、程海英 / 张武、毛国勇、程海英 / 机械工业出版社 / 2005-1-1 / 49.00元
《并行计算导论》(原书第2版)全面介绍并行计算的各个方面,包括体系结构、编程范例、算法与应用和标准等,涉及并行计算的新技术,也覆盖了较传统的算法,如排序、搜索、图和动态编程等。《并行计算导论》(原书第2版)尽可能采用与底层平台无关的体系结构并且针对抽象模型来设计处落地。书中选择MPI、POSIX线程和OpenMP作为编程模型,并在不同例子中反映了并行计算的不断变化的应用组合。一起来看看 《并行计算导论》 这本书的介绍吧!
